Администрирование контроллера RODC

При присоединении к домену Inno Samba для контроллера может быть выбрана роль RODC (Read-Only Domain Controller).

Для администрирования контроллера RODC в домене Inno Samba с помощью утилиты samba-tool используется группа подкоманд rodc.

При выполнении операций с помощью группы подкоманд rodc рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

  • либо пользователь должен работать на сервере под доменной учетной записью;

  • либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Особенности контроллера RODC

Контроллер RODC имеет следующие отличия от обычных контроллеров домена, присоединенных в роли DC:

  • копия базы данных службы каталогов на контроллере RODC доступна только для чтения;

  • контроллер RODC не реплицирует данные на другие контроллеры домена (используется односторонняя репликация);

  • контроллер RODC хранит полную копию базы данных службы каталогов, за исключением хешей паролей объектов и других атрибутов, содержащих «чувствительную» информацию;

  • контроллер RODC перенаправляет запросы на аутентификацию от пользователей на ближайший обычный контроллер;

  • контроллер RODC может кэшировать учетные данные некоторых пользователей для ускорения процесса аутентификации и обеспечения возможности авторизации при отсутствии связи с обычными контроллерами;

  • служба DNS на контролере RODС работает только на чтение.

Предварительная загрузка данных учетных записей

Для предварительной загрузки данных учетных записей на контроллере RODC в домене Inno Samba используется следующий формат вызова:

samba-tool rodc preload (<SID>|<DN>|<accountname>)+ ... [options]

Подкоманда запускает процесс репликации данных указанных объектов с переданного в параметре --server обычного контроллера домена.

Для идентификации объектов могут использоваться идентификаторы безопасности (SID), DN или имена учетных записей SAM (samAccountName).

Для передачи списка объектов может использоваться:

  • перечисление объектов списком через пробел;

  • файл (одна строка соответствует одному объекту);

  • stdin (одна строка соответствует одному объекту).

Параметры

Параметры вызова:

  • --server=SERVER — обычный контроллер домена, который будет выступать источником данных при репликации;

  • --file=FILE — имя файла со списком реплицируемых объектов либо - для ввода списка через стандартный поток ввода (stdin);

  • --ignore-errors — игнорировать ошибки репликации при загрузке нескольких объектов.

Примеры

Пример тестирования репликации пароля пользователя на контроллере RODC после присоединения:

  1. На обычном контроллере домена (DC1 в данном примере) создается пользователь в группе Allowed RODC Password Replication Group. Пароли участников данной группы разрешено реплицировать на контроллеры RODC.

  2. На контроллере RODC выполняется команда:

    samba-tool rodc preload ivanov --server=dc1.samdom.example.com
Replicating DN CN=Иван Иванов,CN=Users,DC=samdom,DC=example,DC=com
Exop on[CN=Иван Иванов,CN=Users,DC=samdom,DC=example,DC=com]
objects[1] linked_values[0]